Autenticación y conexión a un controlador de dominio
Autenticación y conexión a un controlador de dominio al analizar un dominio
Al analizar un controlador de dominio, el Servidor de administración o el punto de distribución identifica el protocolo de conexión para establecer la conexión inicial con el controlador de dominio. Este protocolo se usará para todas las conexiones futuras al controlador de dominio.
La conexión inicial a un controlador de dominio se realiza de la siguiente manera:
- El Servidor de administración o el punto de distribución intenta conectarse al controlador de dominio mediante el protocolo LDAPS.
De forma predeterminada, la verificación del certificado no es obligatoria. Establezca el indicador
KLNAG_LDAP_TLS_REQCERTen 1 para verificar el certificado.Posibles valores del indicador
KLNAG_LDAP_TLS_REQCERT_AUTH:0: se solicita el certificado, pero si este no se brinda o si la verificación del certificado genera un error, se considera que la conexión TLS se estableció correctamente (valor predeterminado).1: se requiere una verificación estricta del certificado del servidor LDAP.
De forma predeterminada, se usa la ruta de acceso a la autoridad de certificación (CA), que depende del sistema operativo, para acceder a la cadena de certificados.
Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada. - Si la conexión LDAPS falla, el Servidor de administración o el punto de distribución intenta conectarse al controlador de dominio mediante una conexión TCP no cifrada a través de SASL (DIGEST-MD5).
Autenticación y conexión a un controlador de dominio al autenticar un usuario de dominio en el Servidor de administración
Cuando un usuario del dominio se autentica en el Servidor de administración, el Servidor de administración identifica el protocolo para establecer la conexión con el controlador de dominio.
La conexión a un controlador de dominio se realiza de la siguiente manera:
- El Servidor de administración intenta conectarse al controlador de dominio a través de LDAPS.
De forma predeterminada, la verificación del certificado es obligatoria. Utilice el indicador
KLNAG_LDAP_TLS_REQCERT_AUTHpara configurar la verificación del certificado.Posibles valores del indicador
KLNAG_LDAP_TLS_REQCERT_AUTH:0: se solicita el certificado, pero si este no se brinda o si la verificación del certificado genera un error, se considera que la conexión TLS se estableció correctamente.1: se requiere una verificación estricta del certificado del servidor LDAP (valor predeterminado).
De forma predeterminada, se usa la ruta de acceso a la autoridad de certificación (CA), que depende del sistema operativo, para acceder a la cadena de certificados.
Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada. - Si falla la conexión LDAPS, se produce un error al conectarse al controlador de dominio y no se utilizan otros protocolos de conexión.
Configuración de indicadores
Puede usar la utilidad klscflag para configurar indicadores.
Ejecute el símbolo del sistema y luego cambie el directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en el directorio donde está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.
Por ejemplo, el siguiente comando aplica la verificación del certificado:
klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1